陳寧江 劉 燦 黃汝維 黃保華

①(廣西大學(xué)計算機與電子信息學(xué)院 南寧 530004)

②(廣西多媒體通信與網(wǎng)絡(luò)技術(shù)重點實驗室 南寧 530004)

1 引言

在云計算技術(shù)的應(yīng)用推動下，云服務(wù)成為企業(yè)或個人減輕應(yīng)用維護(hù)的方式?？伤阉骷用躘1]是解決密文檢索的重要方案之一，它允許用戶檢索包含用戶指定關(guān)鍵字的加密文檔，其中給定關(guān)鍵字陷門，服務(wù)器可以在不解密的情況下找到用戶所需的數(shù)據(jù)?？伤阉骷用芊譃閷ΨQ可搜索加密(Symmetrickey Searchable Encryption, SSE)[2]和非對稱可搜索加密(Asymmetric-key Searchable Encryption,ASE)[3]。SSE雖然效率較高，但秘鑰分配復(fù)雜，適用于一對一的場景。為了解決這一問題，Boneh等人[4]首次提出一種基于關(guān)鍵字搜索的公鑰可搜索加密(Public Key Encryption with Keyword Search,PEKS)，使用戶能夠在非對稱加密中搜索加密數(shù)據(jù)。Boneh等人[4]的方案在抵御關(guān)鍵字攻擊方面是滿足語義安全的[5]。然而，CSP(Cloud Service Provider)是一個誠實且好奇的第三方，在擁有關(guān)鍵字陷門之后，不可避免會通過關(guān)鍵字猜測攻擊[6,7]獲取密文的關(guān)鍵字信息。由此，產(chǎn)生內(nèi)部關(guān)鍵字猜測攻擊。內(nèi)部關(guān)鍵字猜測攻擊是指由內(nèi)部攻擊者，一般是指可以通過合法手段獲取關(guān)鍵字陷門數(shù)據(jù)的實體，在本文背景中，通常指云服務(wù)提供商。外部關(guān)鍵字攻擊是指需要攔截方式來獲取數(shù)據(jù)陷門的實體因此相較于外部關(guān)鍵字攻擊，內(nèi)部關(guān)鍵字攻擊具有更高的權(quán)限和安全性。

PEKS的概念由Boneh等人[4]提出，但是其方案不僅在加密和檢索中有較大的計算開銷，而且存在許多安全性問題。Byun等人[8]指出關(guān)鍵詞空間遠(yuǎn)小于秘鑰空間，提出離線關(guān)鍵字攻擊的問題，并成功擊破Boneh等人的方案。為了抵御離線關(guān)鍵字猜測攻擊，文獻(xiàn)[9]和文獻(xiàn)[10]分別提出基于倒排索引和無證書認(rèn)證的抵御關(guān)鍵字猜測攻擊的公鑰可搜索加密方案。然而，對于方案內(nèi)部對手仍然有機會成功地發(fā)起關(guān)鍵字猜測攻擊。文獻(xiàn)[11]提出了一種基于模糊關(guān)鍵字搜索的加密方案，該方案能夠抵御外部關(guān)鍵字猜測攻擊。Rhee等人[12]引入“陷門不可區(qū)分性”的安全概念，證明陷門不可區(qū)分性是阻止關(guān)鍵字猜測攻擊的充分條件。但是，他們的工作都沒有解決關(guān)鍵字猜測攻擊(Keyword Guessing Attack, KGA)[13,14]是服務(wù)器的問題。為抵御服務(wù)器關(guān)鍵字攻擊問題，Shao等人[15]提出誠實且好奇的服務(wù)器問題，采用信息技術(shù)簽名和權(quán)威機構(gòu)的認(rèn)證。文獻(xiàn)[16]使用代理重加密技術(shù)對部分密文進(jìn)行重加密處理，但需要較大系統(tǒng)開銷的方案。以上方案都是基于正向索引，其搜索效率較低。為了提高效率，文獻(xiàn)[17]提出不需要認(rèn)證的概念，在構(gòu)建索引過程中加入數(shù)據(jù)擁有者的私鑰，任何沒有數(shù)據(jù)擁有者私鑰的人都不能生成合法的索引，服務(wù)器無法進(jìn)行正常的攻擊。但在考慮到內(nèi)部關(guān)鍵字攻擊中，以上工作都是基于“文獻(xiàn)-關(guān)鍵字”的正向索引方式，密文信息的檢索時間復(fù)雜度與總的密文數(shù)成正比。對于加密的文件來說，當(dāng)密文包含大量的關(guān)鍵字時，這種線性鏈表索引結(jié)構(gòu)就會大大降低搜索效率。因此，為了在提高檢索效率的同時可以抵御內(nèi)部關(guān)鍵攻擊，本文設(shè)計了基于并行倒排索引的可以抵御內(nèi)部關(guān)鍵字猜測攻擊的快速公鑰可搜索加密方案。利用安全高效的倒排索引[18]實現(xiàn)次線性搜索，其搜索效率只與包含相關(guān)查詢關(guān)鍵字的密文數(shù)成正比。在抵御內(nèi)部關(guān)鍵字猜測攻擊方面，通過加入用戶私鑰技術(shù)來抵御關(guān)鍵字猜測攻擊。

針上述問題的描述，本文的主要思路是：

(1) 提出一種抵御內(nèi)部關(guān)鍵字攻擊方案?；陔p線性配對的公鑰算法，構(gòu)造了一個完全公鑰環(huán)境下的可抵御內(nèi)部關(guān)鍵字攻擊的公鑰可搜索加密方案。

(2) 提出一種高效的關(guān)鍵字搜索方案。采用快速并行的倒排索引，且加密索引能夠抵御內(nèi)部關(guān)鍵字猜測攻擊，提高了系統(tǒng)安全性和搜索效率。

2 PSEFKS方案設(shè)計

2.1 系統(tǒng)模型

本文定義的快速安全的公鑰可搜索加密(Publickey Security Encryption with Fast Keyword Search, PSEFKS)的系統(tǒng)模型如圖1所示，主要由3個實體組成：數(shù)據(jù)擁有者、數(shù)據(jù)用戶和云服務(wù)器。

首先，數(shù)據(jù)擁有者有一系列數(shù)據(jù)文檔集合f ={f1,f2,···,fn}，打算把它存儲到云服務(wù)器中。為了保證數(shù)據(jù)的安全且提高用戶的搜索效率，數(shù)據(jù)擁有者構(gòu)建了一個安全可搜索加密的倒排索引和一系列加密后的密文，然后數(shù)據(jù)擁有者把安全索引和可搜索密文上傳至云服務(wù)器。另外，數(shù)據(jù)用戶根據(jù)自己的需求，生成包含特定需求的關(guān)鍵字密文陷門；隨后，把關(guān)鍵字陷門上傳至云服務(wù)器，并解密云服務(wù)器返回的搜索結(jié)果。最后云服務(wù)器根據(jù)數(shù)據(jù)用戶上傳的關(guān)鍵字陷門，與已有的加密密文進(jìn)行檢索匹配，從已有的密文集合中，返回給數(shù)據(jù)用戶包含精確關(guān)鍵字搜索密文的密文集合。

2.2 高效的倒排索引構(gòu)建

在上述系統(tǒng)模型中，數(shù)據(jù)擁有者在進(jìn)行密文上傳之前需進(jìn)行密文關(guān)鍵字索引的構(gòu)造。具體過程如圖2所示。假設(shè)密文Cw提 取的關(guān)鍵詞集合為Cw= {w1,w2,···,wi}, H為哈希函數(shù)，倒排索引是對密文C1,C2,···,Cw等建立的“關(guān)鍵詞-文檔”索引。每個關(guān)鍵詞 wi擁有對應(yīng)的關(guān)鍵詞文檔的集合為(wi,value )索引集，其中v alue為關(guān)鍵詞所對應(yīng)的文檔集合。Enc( wi||Kwi) 中Kwi表 示關(guān)鍵詞wi當(dāng)前產(chǎn)生的計數(shù)器即文檔編號值。

在倒排索引中，文檔和搜索效率是次線性的，為實現(xiàn)海量數(shù)據(jù)的快速檢索，所以本文采用高效的倒排索引架構(gòu)來進(jìn)行密文的搜索操作?；诘古潘饕龢?gòu)建的并行加密索引結(jié)構(gòu)，每個關(guān)鍵字都有一個計算器用來記錄產(chǎn)生密文的數(shù)量。每個密文都由一個關(guān)鍵詞和當(dāng)前計數(shù)器值作為輸入生成。當(dāng)kw=1時，說明這是第1次生成的密文w，把w和kw作 為輸入，生成密文Cw,kw。然后，將Cw,kw和密文文檔集合上傳至云服務(wù)器。云服務(wù)器收到用戶的關(guān)鍵字陷門請求時，在倒排索引中找到對應(yīng)的邏輯地址，得到加密的文檔列表。最后，采用用戶公鑰對加密的文檔列表進(jìn)行逐個解密，得到文檔ID集合。由于上述迭代過程可以并行完成，所以一個完整的搜索過程可以并行實現(xiàn)，從而可以在很大程度上減少關(guān)鍵詞匹對的次數(shù)，從而降低開銷，提高搜索效率。

圖1 系統(tǒng)模型

圖2 高效的倒排索引

2.3 模型的形式化定義

PSEFKS方案主要由2個哈希函數(shù)、3個對象和7個概率多項式時間算法組成： Setup, K eyGenDO,KeyGenDU, S trucInit, S trucEnc, T rapdoor, T est。具體的每個算法實現(xiàn)形式如下：

(1) Setup( λ)：系統(tǒng)初始化算法。算法以安全參數(shù) λ作為輸入，輸出系統(tǒng)公共參數(shù)Param，由數(shù)據(jù)擁有者運行。

(2) K eyGenDO(Param)：數(shù)據(jù)擁有者生成秘鑰算法。算法以系統(tǒng)公共參數(shù)Param作為輸入，產(chǎn)生數(shù)據(jù)擁有者的公/私鑰 ( PKDO, S KDO)，由數(shù)據(jù)擁有者運行。

(3) K eyGenDU(Param)：數(shù)據(jù)用戶生成秘鑰算法。算法以系統(tǒng)公共參數(shù)Param作為輸入，產(chǎn)生數(shù)據(jù)用戶的公/私鑰( PKDU, S KDU)，由數(shù)據(jù)用戶運行。

(4) StrucInit(Param)：隱藏關(guān)系結(jié)構(gòu)初始化算法。運行算法以初始化一個用于加密索引生成的隱藏關(guān)系結(jié)構(gòu)。以系統(tǒng)公共參數(shù)Param為輸入，輸出隱藏關(guān)系結(jié)構(gòu) H S= (P RI,PUB)，由數(shù)據(jù)擁有者執(zhí)行。

(5) StrucEnc( w, P RI, P KDU, S KDO)：隱藏關(guān)系結(jié)構(gòu)加密即加密索引生成算法。算法以關(guān)鍵字w 、隱藏關(guān)系結(jié)構(gòu)P RI 、數(shù)據(jù)擁有者的私鑰S KDO和數(shù)據(jù)用戶的公鑰P KDU為輸入，生成可搜索的加密索引C Iw并更新P RI，由數(shù)據(jù)擁有者執(zhí)行。

(6) Trapdoor( w′, P KDO, S KDU)：關(guān)鍵字陷門生成算法。算法生成關(guān)鍵字w′的陷門，然后上傳到服務(wù)器，進(jìn)行搜索階段的匹配工作。算法輸入數(shù)據(jù)擁有者公鑰 P KDO， 數(shù)據(jù)用戶私鑰S KDU，產(chǎn)出包含特定關(guān)鍵字的陷門信息，由數(shù)據(jù)用戶運行。

(7) Test( Cw, C Iw, P UB, P KDU, P KDO,Tw′)：測試算法。云服務(wù)器在收到數(shù)據(jù)用戶發(fā)送的陷門Tw′后，結(jié)合存儲在云服務(wù)器上的可搜索關(guān)鍵詞索引C Iw，運行該算法進(jìn)行匹配搜索以找出匹配陷門Tw′的密文。算法以可搜索密文Cw、加密索引集CIw、隱藏關(guān)系結(jié)構(gòu)的公共部分P UB、數(shù)據(jù)用戶的公鑰P KDU和 陷門Tw′為輸入，輸出為0或1，由云服務(wù)器運行。

3 PSEFKS方案構(gòu)造

3.1 方案構(gòu)建

PSEFKS方案的具體算法描述如下：

(1) Setup( λ)：系統(tǒng)初始化算法。算法以安全參數(shù)λ 作為輸入，輸出系統(tǒng)公共參數(shù)Param={p,g,,G,GT,H1,} 。 其中p 是 一個與安全參數(shù)λ 相關(guān)的最大素數(shù)， G,GT是階為p 的循環(huán)階，g 是群G的生成元，=G× G →GT是一個高效非退化的雙線性映射，H1,H2是 兩個哈希函數(shù)，滿足映射關(guān)系：H1: {0,1}?→G , H2:GT→{0,1}logp。

(2) K eyGenDO(Param)：數(shù)據(jù)擁有者生成秘鑰算法。算法以系統(tǒng)公共參數(shù)Param作為輸入，輸出數(shù)據(jù)擁有者的公/私鑰對(P KDO, S KDO) =(gx,x)，其中x。

(3) K eyGenDU(Param)：數(shù)據(jù)用戶生成秘鑰算法。算法以系統(tǒng)公共參數(shù)Param作為輸入，產(chǎn)生數(shù)據(jù)用戶的公/私鑰 (PKDU, S KDU) =(gy,y)，其中y。

(4) StrucInit(Param)：隱藏關(guān)系結(jié)構(gòu)初始化算法。算法輸入為系統(tǒng)公共參數(shù)Param，輸出一個隱藏關(guān)系結(jié)構(gòu)HS = (PRI, PUB) = (α , gα)，其中α以 及P R I 是 一 個 形 如( α,{( w,kw)|w ∈W,kw∈N })的動態(tài)列表，初始化為(α )。

(5) KwEnc(ww,SKDO, P KDU,PRI)：加密索引生成算法。算法生成文檔 w的關(guān)鍵字集wi= (w1,w2,···,wt) 、數(shù)據(jù)擁有者的私鑰S KDO=x和數(shù)據(jù)用戶的公鑰P KDU=gy作為輸入，通過以下方式生成文檔的可搜索密文Cwi：

(a)判斷關(guān)鍵字w 的 記錄(w ,kw) 是否在P RI中；

(b)如果記錄不存在，設(shè)置 kw= 1并添加(w ,kw)至P RI ；否則，設(shè)置kw=kw+1并 更新P RI；

(c)輸出可搜索密文Cwi= (C1,C2)，其中

(d)當(dāng)全部關(guān)鍵字計算完成后，記索引集CIw= (C Iw1,CIw2,···,CIwt)，并將含有關(guān)鍵字的密文和索引發(fā)送給云服務(wù)器。

(6) Trapdoor( w′, P KDO, S KDU)：關(guān)鍵字陷門生成算法。算法生成關(guān)鍵字w′的陷門，然后上傳到服務(wù)器，進(jìn)行搜索階段的匹配工作。算法以數(shù)據(jù)擁有者公鑰 P KDO， 數(shù)據(jù)用戶私鑰S KDU作為輸入，計算關(guān)鍵詞的陷門 Tw′=e ︿ (H1(w′)SKDU, P KDO)，并將Tw′發(fā)送給云服務(wù)器。

(7) Test( CIw, Cw, P UB, P KDU, P KDO,Tw′)：云服務(wù)器在收到數(shù)據(jù)用戶發(fā)送的陷門 Tw′后，結(jié)合存儲在云服務(wù)器上的可搜索關(guān)鍵詞索引C Iw，運行該算法進(jìn)行匹配搜索以找出匹配陷門 Tw′的密文。算法以可搜索密文 Cw、 加密索引集C Iw、隱藏關(guān)系結(jié)構(gòu)的公共部分P UB=gα、 數(shù)據(jù)用戶的公鑰P KDU=gy和陷門Tw′為輸入，通過以下步驟搜索匹配的密文集：

(c)在加密索引集 C Iw中查找滿足C′=C [i]的加密索引集C Iw=(C1,C2)，如果找到，則將該索引對應(yīng)的密文集 Cw的 密文C [i]加 到C′，另t=t+1，然后繼續(xù)步驟1；

(d)如果遍歷加密索引集 CIw找不到匹配的索引，則輸出C′。

通過圖3可以看出，在數(shù)據(jù)用戶生成關(guān)鍵字陷門，進(jìn)行密文搜索時，可以在一次雙線性對的時間內(nèi)匹配到密文集中的搜索關(guān)鍵字。在普通的倒排索引搜索中，在通過關(guān)鍵字陷門匹配到關(guān)鍵字密文集后，需要進(jìn)行鏈?zhǔn)皆L問，會揭露所有的密文信息。在本文隱藏關(guān)鍵字結(jié)構(gòu)的方案中，只有在進(jìn)行雙線性匹配運算時，得到想要的關(guān)鍵字匹配密文，由此，確保了數(shù)據(jù)密文信息更加安全。接下來，將對PSEFKS方案的安全性進(jìn)行證明。

3.2 安全性證明

PSEFKS索引方面的安全性證明是建立在(Computational Bilinear Diffie ?Hellman,CBDH)難題建設(shè)之上的，即當(dāng)CBDH問題是難解的，索引加密部分是不可區(qū)分性安全的(INDistinguishability under Chosen Keywords Attack, IND-CKA)。

圖 3 快速倒排索引關(guān)系結(jié)構(gòu)圖gb,gc,G,GT,,t )，算法B 通過模擬以下步驟完成與

(1) 初始化階段：給定關(guān)鍵字 w和 參數(shù)(p,g,ga,敵手A的交互問題：

(a)初始化一個空的列表HL∈w×G1××{0,1} , PLis ∈×G1；

(b)設(shè)置公鑰 PK = (p =ga,g,G,GT,︿e);

(c)初始化隱藏關(guān)系N，具體實現(xiàn)如下：

隨機選擇ui←和 Ci←{0,1}；

如果Ci= 1，計算P UBi=gb?ui；

否則，計算P UBi=gui； gb?u2···gb?uN)， 并將 多 元 組錄 入

另N 個隱藏結(jié)構(gòu)構(gòu)成結(jié)合H S E T=(gb?u1表HL中；

把(P K,PUBi)發(fā)送給敵手。

(2) 詢問階段1：

隨機預(yù)言機查詢 OH1(w )：敵手收到關(guān)鍵字w后，進(jìn)行隨機預(yù)言機查詢，以獲取 w的哈希值H(w )，具體執(zhí)行操作如下：

(b)如果Coin=1，則把加入列表HL，輸出gb?u1；

(c)否則，把< w,PUBi,gu1,ui,Ci>加入列表HL，輸出gu1。

陷門查詢OTrapdoor(w)：當(dāng)敵手自適應(yīng)地選擇隨機預(yù)言機 OTrapdoor，并獲取關(guān)鍵字w ∈{0,1}?的陷門，B 算法如下：

(a)判斷是否在HL表中，如果不在，則請求哈希查詢OH1(w )；

(b)從列表HL中取出關(guān)鍵字w 的 元組，如果Ci= 0，則輸出gb?u1； 否則，輸出 ⊥；

(3) 挑戰(zhàn)階段：敵手任意選擇兩個關(guān)鍵詞者，隨后挑戰(zhàn)者執(zhí)行以下操作生成加密索引：

(c)此時， C0?,C1?中至少有一個為0，隨機選

(d)將密文Cd?發(fā)送給敵手。

(4) 詢問階段2：這個階段與查詢階段1類似。但是，不允許詢問關(guān)鍵詞和 隱藏矢量PU,PU的陷門和索引。b′=b ，算法B 輸出1，否則輸出0。

(5) 猜測階段：敵手A輸出一個比特 b′。如果

4 分析與實驗

4.1 理論分析

將PSEFKS方案與公鑰可搜索加密中比較有代表性的Boneh等人的方案[4], Shao等人的方案[15]和隱藏結(jié)構(gòu)的快速公鑰可搜索加密(Searchable Publickey Ciphertexts with Hidden Structures,SPCHS)[19]方案進(jìn)行對比。其中，Boneh等人的方案是最經(jīng)典的公鑰可搜索加密方案，大部分的公鑰可搜索加密都是基于本方案的改進(jìn)，Shao等人的方案是第1個實現(xiàn)可以抵御內(nèi)部關(guān)鍵字攻擊的方案；在文獻(xiàn)[19]的SPCHS方案中，采用了快速的倒排索引，以此提高了密文搜索效率。但在確保密文在CSP關(guān)鍵字攻擊方面的安全性上，SPCHS方案對于誠實而好奇的云服務(wù)器的猜測攻擊問題存在不足，云服務(wù)器可以通過逐個關(guān)鍵字匹配來獲取用戶密信息。本文方案不僅實現(xiàn)了快速的并行倒排索引，還實現(xiàn)了抵御內(nèi)部關(guān)鍵字攻擊。另外，對各方案在不同階段的計算成本進(jìn)行比較，其中E為運行模指數(shù)運算所用時間，H為運行哈希運算時間，P為計算雙線性映射所用時間。

如表1所列，將PSEFKS與Boneh等人的方案，Shao等人的方案和SPCHS從生成加密秘鑰、生成加密索引、生成關(guān)鍵字陷門和密文搜索4個階段進(jìn)行對比。

PSEFKS依賴雙線性對運算，在生成公私鑰時和Boneh生成密鑰算法相同，需要兩次模密運算。在進(jìn)行索引構(gòu)建時，SPCHS需要兩次雙線性對運算，但PSEFKS基于SPCHS倒排索引進(jìn)行改造，只有在查找到匹配關(guān)鍵字時進(jìn)行1次雙線性對和1次哈希運算。在陷門生成時，因為加入了數(shù)據(jù)擁有者的公鑰，所以相比Boneh等人的方案多了1次雙線性對運算。最后，在查找階段因采用并行倒排索引結(jié)構(gòu)，在進(jìn)行匹配時只需1次哈希和1次雙線性映射，即可完成可搜索密文和陷門的匹配工作。Boneh等人，Shao等人的方案都是基于正向索引構(gòu)建的，在生成關(guān)鍵字密鑰時，Boneh與總的生成關(guān)鍵字密文數(shù)有關(guān)。SPCHS基于倒排索引構(gòu)建，搜索效率與關(guān)鍵字個數(shù)成正比，但需要兩個雙線性對運算。Shao的運行時間與n的大小線性相關(guān)，其中n為關(guān)鍵字的階。所以，相比Boneh和PSEFKS方案，Shao方案在生成秘鑰時，所需時間最長。Setup函數(shù)在終端的每次運行理論值為1，因Shao方案在抵御內(nèi)部關(guān)鍵字攻擊方面需要第三方認(rèn)證機構(gòu)，所以，在不考慮生成函數(shù)運行的時間情況下，Shao的方案約為本方案運行時間的4倍。

表1 性能分析

表2總結(jié)了各方案的安全性情況。PSEFKS方案相比Boneh, Shao和SPCHS的方案，通過給數(shù)據(jù)擁有者分配公私鑰，是一個可以抵御內(nèi)部關(guān)鍵字攻擊的方案。另外，在索引構(gòu)建過程中，我們引用并行的快速倒排索引方式，根據(jù)關(guān)鍵字生成密文的次數(shù)，記錄關(guān)鍵字域密文的關(guān)系結(jié)構(gòu)生成檢索模式，實現(xiàn)了密文和陷門的不可分辨且相比Shao方案的在抵御外部關(guān)鍵字攻擊方面需要身份信息認(rèn)證和第三方權(quán)威機構(gòu)的認(rèn)證，本文有更高的安全性與檢索效率。

從Boneh第1次提出PEKS方案，到2015年Shao第1次考慮內(nèi)部關(guān)鍵字攻擊問題，在他們所提方案中，由于都基于正向索引，在進(jìn)行算法匹配，去尋找包含關(guān)鍵字 的密文文檔時，所提算法幾乎要把所有的加密索引匹配一遍，故搜索階段的時間復(fù)雜度為o (n)。所以，以上對比方案只適用于文檔較少的可搜索加密系統(tǒng)，對于文檔較多的系統(tǒng)，效率會嚴(yán)重降低。但是，在PSEFKS方案中，由于采用了并行的倒排索引的加密索引結(jié)構(gòu)，云服務(wù)器在收到關(guān)鍵字搜索陷門時，允許并行的執(zhí)行關(guān)鍵字搜索匹配任務(wù)，然后找到所有匹配的論文，提高檢索效率。因此，在現(xiàn)今大數(shù)據(jù)存儲的云存儲中，本文方案能夠在有效的倒排索引下實現(xiàn)抵抗內(nèi)部關(guān)鍵字攻擊的功能，使方案更加安全高效。

4.2 實驗分析

實驗原型系統(tǒng)的開發(fā)和測試是基于Ubuntu18.04系統(tǒng)，所依賴的軟件庫為PBC-0.5.14[20]，GMP,Openssl/crypto和Openssl/sha，實驗機器的CPU為Intel(R)Core(TM)i5-7500 CPU@3.40 GHz；選取橢圓曲線為Type-A類型，所用參數(shù)選取PBC庫中給定的參數(shù)文件a.param。

表2 安全性對比

因為PSEFKS方案是在SPCHS方案索引的基礎(chǔ)上進(jìn)行改進(jìn)的，因此增加與SPCHS方案的對比。對比在4個主要方面進(jìn)行：數(shù)據(jù)擁有者產(chǎn)生可搜索密文時間、數(shù)據(jù)用戶產(chǎn)生陷門時間、云服務(wù)器進(jìn)行關(guān)鍵字搜索匹配時間和所占空間大小。

圖4展示了PSEFKS和SPCHS在進(jìn)行生成加密索引、生成陷門和搜索性能3個方面的比較。在圖4(a)中，SPCHS方案使用鏈?zhǔn)剿饕P(guān)系，只有在已知前一個密文的基礎(chǔ)上根據(jù)鏈?zhǔn)街羔槻檎蚁乱粋€關(guān)鍵字密文，查找效率相對較低。而在PSEFKS方案中，索引關(guān)系允許關(guān)鍵字進(jìn)行并行搜索。因此，在云服務(wù)器獲得用戶陷門，可以通過本文方案中的Test算法進(jìn)行比較和遍歷。當(dāng)該索引指向的密文的明文包含關(guān)鍵字 w時，才需要進(jìn)行一次雙線性配對運算。

圖4 效率比較

圖4(b)在進(jìn)行構(gòu)建關(guān)鍵字索引時，PSEFKS有一個公共的參數(shù)指向頭部，加密索引階段主要包括轉(zhuǎn)換為哈希字符串和映射群元素G的運算。由于PSEFKS在加密關(guān)鍵字索引時，引入計算器操作，相對耗時多一些。但在加密文檔數(shù)量較多時，在4000個關(guān)鍵字文檔后，依然與所加密的關(guān)鍵字密文數(shù)成正比。但SPCHS由于需要在鏈?zhǔn)诫[藏索引結(jié)構(gòu)查詢插入關(guān)鍵字密文，所以會隨著關(guān)鍵字密文數(shù)增加而逐漸增大。如圖所示，在產(chǎn)生10000個可搜索加密密文時，SPCHS方案大約需要80 s，而本文方案僅僅需要40 s。因此，在生成關(guān)鍵字可搜索的密文時，PSEFKS方案有了很大的改進(jìn)。

圖4(c)展示了在陷門生成時所需時間的方案對比。在SPCHS中，關(guān)鍵字生成需要有兩個參數(shù)，分別是數(shù)據(jù)用戶的私鑰S K和 所需的關(guān)鍵字w ，算法只需1次冪指運算。在本文PSEFKS中，因為需要加入數(shù)據(jù)用戶的公鑰 PK，所以，相比SPCHS來說，需要多一次雙線性對映射運算。所以，在陷門生成時，PSEFKS方案的效率略低于SPCHS方案。

本實驗通過統(tǒng)計評估生成的關(guān)鍵字可搜索密文的字節(jié)大小，比較了PSEFKS方案和SPCHS方案的通信成本。在SPCHS方案中，關(guān)鍵詞字典中不僅存儲了加密關(guān)鍵字信息，還需額外的空間來存儲關(guān)鍵字密文之間的關(guān)系結(jié)構(gòu)。而在本文PSEFKS方案中，采用隱藏關(guān)鍵字結(jié)構(gòu)的星型倒排索引結(jié)構(gòu)，不需要額外的信息存儲密文關(guān)系。如圖5所示，實驗對比表明，10000個關(guān)鍵字可搜索密文，PSEFKS方案約需要350 KB, SPCHS的比較方案約需要3600 KB。因此，通過與SPCHS方案相比，PSEFKS方案的通信成本大大降低。因此，通過與SPCHS方案相比，PSEFKS方案的通信成本大大降低。

綜上所述，在SPCHS隱藏關(guān)系的鏈?zhǔn)降古潘饕幕A(chǔ)上，本文方案的星型倒排索引，只需關(guān)鍵字經(jīng)過 H2((H1(w)Kw, pu))計算，生成相應(yīng)的可搜索加密密文，不僅降低了存儲開銷，在搜索階段可進(jìn)行并行操作，提高了檢索效率。而且，在生成關(guān)鍵字索引時，加入數(shù)據(jù)擁有者的私鑰，使本文方案可以抵抗內(nèi)部關(guān)鍵詞攻擊。

圖5 通信成本比較

5 結(jié)束語

本文提出一種快速的可抵御內(nèi)部關(guān)鍵字攻擊的公鑰可搜索加密方案。主要貢獻(xiàn)為：首先，提出一個高效快速的抵御內(nèi)部關(guān)鍵字攻擊方案PSEFKS，可以抵御云服務(wù)器等敵手通過加密索引等關(guān)鍵字實施關(guān)鍵字猜測攻擊，從而保障了系統(tǒng)的安全性；其次，通過分析基于倒排索引的隱藏結(jié)構(gòu)關(guān)系，改進(jìn)了加密索引的構(gòu)造方式，同時結(jié)合現(xiàn)有的公鑰可搜索加密方案，構(gòu)建了高效并行的倒排索引，減少了在搜索階段服務(wù)器執(zhí)行雙線性配對運算時間，從而提高了搜索效率。本文方案在使用倒排索引時，無法充分保證對加密數(shù)據(jù)的動態(tài)更新問題，因此后續(xù)工作將考慮對倒排索引結(jié)構(gòu)進(jìn)行改進(jìn)，在保證用戶的搜索效率和安全性的同時，可以對索引結(jié)構(gòu)進(jìn)行動態(tài)更新。